Настройка пользовательской машины и подключение к шлюзу NGate с помощью VPN доступа

В данном разделе приведён пример настройки машины пользователя для подключения к шлюзу VPN NGate при помощи клиента NGate. Теперь следует установить необходимое ПО на клиентскую машину и сформировать клиентский мандат для доступа к шлюзу.

В качестве клиентской машины будет использоваться ПК с ОС Windows 10, на котором должны быть установлены программы КриптоПро CSP версии 5.0 или выше и СПО клиент NGate.

  1. Если отсутствует на клиентской машине, то скачайте и установите ПО КриптоПро CSP версии 5.0.
    1. Перейдите на официальный сайт компании КриптоПро и скачайте дистрибутив ПО КриптоПро CSP: https://cryptopro.ru/products/csp/ (необходима регистрация!).
    2. Запустите скачанный дистрибутив и установите ПО КриптоПро CSP. Установка стандартная и не представляет трудностей, при установке следуйте указаниям мастера установки.
    3. Для ПО КриптоПро CSP предоставляется три месяца тестового режима использования, по истечении данного срока необходимо приобрести лицензию.
  2. Если отсутствует на клиентской машине, то скачайте и установите последнюю версию СПО клиент NGate для ОС Windows.
    1. Перейдите на официальный сайт компании КриптоПро и скачайте дистрибутив ПО КриптоПро CSP: https://cryptopro.ru/products/ngate/downloads (необходима регистрация!).
    2. Запустите скачанный дистрибутив и установите ПО КриптоПро CSP. Установка стандартная и не представляет трудностей, при установке следуйте указаниям мастера установки.
    3. ПО КриптоПро CSP является бесплатным и не требует лицензии.
  3. Внесите данные о имени хоста в файле hosts.
    В данном примере это: 192.168.1.3 ngate-vm-complete
  4. Если клиентская машина не подключена к Интернету, то проверить сертификат сервера по ссылкам CDP не возможно и требуется отключить данную проверку. Для отключения необходимо активировать опцию в панели управления КриптоПро CSP: перейдите на вкладку Настройки TLS и активируйте Не проверять сертификат сервера на отзыв (нужны права администратора).


  5. Получение клиентского мандата при помощи клиента NGate. запускаем клиент и переходим на вкладку Certificates. Далее Create Certificate Request... > Next.


  6. Переходим к заполнению форм. Выбираем значение Private key type соответственно GOST 2001 256bit. Затем указываем произвольное имя [Username] владельца сертификата. Значения полей O и OU подставляем inc и dep соответственно значениям в свойствах ACL на шлюзе. Также укажем Passphrase - пароль на будущий контейнер с ключами


  7. Далее должно появиться окно биологического датчика случайных чисел. Следует передвигать курсор мыши в разные стороны до завершения процесса формирования ключей


  8. Сохраните запрос в виде файла. Нажмите Save> для начала процедуры сохранения.


  9. Введите имя для файла запроса, например: certnew.


  10. Запрос успешно создан и сохранён.


  11. Откройте файл запроса в текстовом редакторе и скопируйте код base64.


  12. Получите сертификат в тестовом УЦ «КРИПТО-ПРО» и импортируйте данный файл. Для начала импорта нажмите: Import certificate > Internal Certificate > Next.


  13. нажмите Next для продолжения


  14. Выберите файл сертификата в навигаторе файлов и нажмите Открыть.


  15. Введите пароль от контейнера закрытого ключа.


  16. Импорт успешно завершён.


  17. Импортируйте корневой сертификат УЦ. В данном примере настройки используется тестовый УЦ «КРИПТО-ПРО»


  18. Выберите Import certificate > CA Certificate > Next


  19. Нажмите Select для открытия меню выбора.


  20. Выберите файл корневого сертификата, ранее полученного в тестовом УЦ


  21. Подтвердите установку сертификата


  22. Успешно установлен


  23. Перейдите на вкладку Status клиента. Введите имя DNS в адресной строке клиента: ngate-vm-complete и нажмите кнопку Connect


  24. Выберите ранее установленный клиентский сертификат


  25. Введите пароль от контейнера закрытого ключа сертификат


  26. Подключение установлено


  27. Запустите консоль Windows и проверьте при помощи команды ping соединение.


  28. Теперь откроем браузер с поддержкой ГОСТ и зайдём на страницу защищаемых ресурсов, если отображается приветственная страница nginx, то VPN-туннель настроен правильно.